如何從程序尋找木馬的痕跡
對於程序這個概念,許多電腦使用者都沒有給予太多關注。在很多人印象裡,只知道結束程序可以殺死程式,至於哪些程序對應哪些程式,究竟什麼樣的程序該殺,什麼樣的程序不能殺這些問題很少考慮。這裡通過幾個例項為大家揭開程序的神祕面紗。
例項一:和程序的“表演者”交個朋友
很多時候,我們並沒有注意到系統中到底有多少程序。如果想了解程序的祕密,首先就必須和一些常見系統程序交個朋友,一旦掌握了它們,就能像偵探一樣迅速從程序名單中發現可疑的傢伙。
在Windows 2000/XP中,Ctrl+Shift+Esc組合鍵能快速調出工作管理員,而Windows 9X為Ctrl+Alt+Del組合鍵。
1.“主角”程序
首先來熟悉一下系統中的基本程序,它們是系統執行的基本條件,一般情況下不能關閉它們,否則會導致系統崩潰。
Windows 2000/XP:smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe***可以同時存在多個***、spoolsv.exe、explorer.exe、System Idle Process;
Windows 9x:msgsrv32.exe、mprexe.exe、mmtask.tsk、kenrel32.dll。
你知道嗎
程序與程式
簡單地說,每啟動一個程式,就啟動了一個程序。在Windows 3.x中,程序是最小執行單位。在Windows 9X/2000/XP中,每個程序還可以啟動幾個執行緒,比如每下載一個檔案可以單獨開一個執行緒。在Windows 9X/2000/XP中,執行緒是最小單位。程式是永存的,程序是暫時的。舉一個例子說:如果程式是劇本,那麼表演過程就是程序;如果程式是菜譜,那麼烹調過程就是程序。
人鬼情未了──Svchost.exe
它位於系統目錄的System32資料夾,是從動態連結庫***DLL***執行服務的一般性宿主程序。在工作管理員中,可能會看到多個Svchost.exe在執行,不要大驚小怪,這可能是多個DLL檔案在呼叫它。不過,正因為如此,它也成為了病毒利用的物件,以前的“藍色程式碼”病毒就是一例。另外,如果感染了衝擊波病毒,系統也會提示“Svchost.exe出現錯誤”。
如果要檢視哪些服務正在使用Svchost.exe,對於Windows 2000可從其安裝光碟的SupportToolsSupport.cab壓縮包中,將Tlist.exe解壓縮至任意目錄,接著在“命令提示符”中進入Tlist.exe所在目錄,輸入“tlist -s”並回車***“tlist pid”命令可看到詳細資訊***。而在Windows XP則直接輸入“Tasklist /SVC”檢視程序資訊***“Tasklist /fi "PID eq processID"”則可看到詳細資訊***。
2.“配角”程序
這些系統程序雖然不是系統執行必須的,但也經常在程序列表中拋頭露面。如internat.exe、systray.exe、rundll32.exe、loadwc.exe、ddhelp.exe、mstask.exe、ctfmon.exe、taskmagr.exe、msnmsgr.exe、wmiexe.exe,它們都是正常的系統程序。
建議在安裝完Windows後,點選“開始→程式→附件→系統工具→系統資訊”,在開啟的“系統資訊”視窗中再點選“軟體環境→正在執行任務”***在此程序列表中,可看到更詳細的屬性,其中程式路徑是非常重要的資訊***,接著點選“操作→另存成文字檔案”,以後系統出現異常時則對照進行分析。另外,“優化大師”也提供了儲存程序快照的功能